your privacy is in danger / xpa.exe / worm.win32.netbooster / spyware warning

#1 ich habe versehntlich einen video-codec geladen und damit fing alles an. um einmal ein paar sachen zu nennen:

- desktop-hintergrund: your privacy is in danger (download privacy protection software now)
- ein programm namens xpa.exe wurde gestartet und lies sich nicht mehr stoppen
- mehrer laufwerke waren plötzlich weg
- die systemsteuerung lies sich nicht mehr öffnen, weder über das startmenü, wo sie gar nicht mehr angezeigt wurde, noch über den explorer
- die netzwerkverbindungen sowie drucker sind aus dem startmenü verschwunden
- permanent kommt eine meldung "windows security alert"

Windows has detected an Internet attackt attempt ... sombody is trying to infect your pc [...]

- der taskmanager sowie die regedit lassen sich nicht öffnen
- eine rotes blinkendes icon in der taskleiste öffnet sich
- eine "spyware warning" öffnet sich

worm.win32.netbooster detected on your machine. this virus is distributed via the Internet [...]

- und dazu permanent ein "system alert" in der taskleiste:

system detected virus activities. these may impact the performance of your computer. please use recommended antispyware

- beim öffnen der regedit kommt die meldung: die bearbeitung der registrierung wurde durch den administrator deaktiviert.
- folgende urls öffnen sich permanent:

system-defender.com/freeware/2/?wmid=6010&mid=MjI6Mzc6MTgxNjM=&lndid=37&p=01

ucleaner.com/main.php?wmid=6010&mid=MjI6Mjo4OQ==&lndid=2

safewebnavigate2008.com/index.php?sid=0&aid=0&said=0&pn=&pid=0

- ja nachdem was für programme geöffnet sind, fangen die fenster in der taskleiste an zu blinken oder das fenster wird gewechselt.
- manchmal öffnet sich auch eine internet explorer fenster und schließt sich umgehend wieder von selbst.

combofix-scanreport:

der scan lässt sichdurchführen, allerdings kommt nach einem neustart die meldung: datei konnte nicht gefunden werden

hijackthis-logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49, on 2008-06-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: rtsplgob - {0939FF27-A717-4F67-96B5-555F9510F17F} - C:\WINDOWS\rtsplgob.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: awayreader.lnk = D:\Eigene Dateien\icq\ICQAwayReader13.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: awayreader.lnk = D:\Eigene Dateien\icq\ICQAwayReader13.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206897376
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: xkefqtgs - {B8C36660-50AF-4D54-80BD-5E74BB05C90E} - C:\WINDOWS\xkefqtgs.dll
O21 - SSODL: rnopbfgt - {06E96E42-E663-4EC1-8D9C-67C02D837BA2} - C:\WINDOWS\rnopbfgt.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 7793 bytes


uninstall-liste:

µTorrent
1st Page 2000 2.00 Free
AFPL Ghostscript 8.50
AFPL Ghostscript Fonts
ALPS Touch Pad Driver
AppCore
AV
AVI Codec Pack
ccCommon
Core FTP LE 1.3c
Das große Nachschlagewerk
Dell Laser Printer 1100 Software-Deinstallation
FeedReader
FLV Player
FreePDF XP (Remove only)
GMX Toolbar
Google Toolbar for Internet Explorer
HijackThis 2.0.2
ICQ 5.1
Intel(R) Graphics Media Accelerator Driver for Mobile
LingoPad 2.4.3 (Build 319)
LiveUpdate 3.1 (Symantec Corporation)
LiveUpdate Notice (Symantec Corporation)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office XP Professional mit FrontPage
Mozilla Firefox (2.0.0.14)
MSRedist
PowerISO
QIP 2005 Uninstall
QuickTime
RedMon - Redirection Port Monitor
WinRAR Archivierer
XAMPP 1.5.4


datfind-logfile:


Volumeseriennummer: 0C66-7BBA

Verzeichnis von C:\WINDOWS\system32

2008-06-10 12:34 2,206 wpa.dbl
2008-06-10 11:46 0 clkcnt.txt
2008-06-10 11:35 0 ieupdates.exe.tmp
2008-06-05 15:35 48 ezsidmv.dat
2008-05-28 00:24 387,178 TZLog.log
2008-04-13 14:48 397,894 perfh009.dat
2008-04-13 14:48 60,114 perfc009.dat
2008-04-13 14:48 411,840 perfh007.dat
2008-04-13 14:48 72,886 perfc007.dat
2008-04-13 14:48 907,998 PerfStringBackup.INI
2008-04-10 04:22 123,728 FNTCACHE.DAT
2008-04-05 22:56 19,836,024 MRT.exe
2008-03-27 11:24 60,416 tzchange.exe
2008-03-25 06:51 187,168 msjint40.dll
2008-03-25 06:51 621,344 mswstr10.dll
2008-03-25 06:50 355,104 msxbde40.dll
2008-03-25 06:50 838,432 mswdat10.dll
2008-03-25 06:50 264,992 mstext40.dll
2008-03-25 06:50 559,904 msrepl40.dll
2008-03-25 06:50 322,336 msrd3x40.dll
2008-03-25 06:50 432,928 msrd2x40.dll
2008-03-25 06:50 355,104 mspbde40.dll
2008-03-25 06:50 219,936 msltus40.dll


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA

Verzeichnis von C:\DOKUME~1\admin2\LOKALE~1\Temp

2008-06-10 12:51 100,973 datfind.txt
1 Datei(en) 100,973 Bytes
0 Verzeichnis(se), 1,623,351,296 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA

Verzeichnis von C:\WINDOWS

2008-06-10 12:34 227 system.ini
2008-06-10 12:34 156 wiadebug.log
2008-06-10 12:34 0 0.log
2008-06-10 12:34 1,103,446 WindowsUpdate.log
2008-06-10 12:34 50 wiaservc.log
2008-06-10 12:33 2,048 bootstat.dat
2008-06-10 12:32 32,620 SchedLgU.Txt
2008-06-10 12:31 53,248 PSEXESVC.EXE
2008-06-10 12:22 807,017 setupapi.log
2008-06-10 12:07 206,369 setupact.log
2008-06-10 11:36 605 win.ini
2008-06-10 03:28 163,840 pebgkxwq.exe
2008-06-10 03:28 139,264 esrt.exe
2008-06-10 03:28 253,952 rnopbfgt.dll
2008-06-10 03:28 225,280 xkefqtgs.dll
2008-06-02 23:03 95,256 iis6.log
2008-06-02 23:03 214,777 comsetup.log
2008-06-02 23:03 1,891 imsins.log
2008-06-02 23:03 131,198 ntdtcsetup.log
2008-06-02 23:03 35,356 ocmsn.log
2008-06-02 23:03 246,601 tsoc.log
2008-06-02 23:03 326,007 ocgen.log
2008-06-02 23:03 31,726 msgsocm.log
2008-06-02 23:03 613,942 FaxSetup.log
2008-05-28 00:24 1,374 imsins.BAK
2008-05-28 00:24 24,432 KB942763.log
2008-05-17 20:15 14,750 KB950749.log
2008-05-10 15:17 2,768 Freecorder Toolbar Uninstall Log.txt

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA

Verzeichnis von C:\WINDOWS\temp

2008-06-10 12:34 409 WGANotify.settings
1 Datei(en) 409 Bytes
0 Verzeichnis(se), 1,623,339,008 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2008-02-12 11:28 3,036,680 ImageUploader5.ocx
2008-02-12 11:28 378 ImageUploader5.inf
2008-02-01 04:21 350 MySpaceUploader.inf
2008-02-01 04:17 2,637,440 MySpaceUploader.ocx

13 Datei(en) 10,771,949 Bytes
0 Verzeichnis(se), 1,623,334,912 Bytes frei

ich hoffe mir kann hier geholfen werden. vielen dank schon einmal im voraus

jean

#2 Hallo


1.
wende cleaner an + lösche die termp-Dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Hacken vor folgendem Eintrag:

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: rtsplgob - {0939FF27-A717-4F67-96B5-555F9510F17F} - C:\WINDOWS\rtsplgob.dll (file missing)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O21 - SSODL: xkefqtgs - {B8C36660-50AF-4D54-80BD-5E74BB05C90E} - C:\WINDOWS\xkefqtgs.dll
O21 - SSODL: rnopbfgt - {06E96E42-E663-4EC1-8D9C-67C02D837BA2} - C:\WINDOWS\rnopbfgt.dll

Danach wähle Fix Checked + starte den Rechner neu.

3.
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

4.
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html


Gruss Swiss

#3 Ueberpruefe zusaetzlich diese Dateien bei Virustotal und poste das gesamte Ergebniss

c:\windows\pebgkxwq.exe
c:\windows\esrt.exe
c:\windows\rnopbfgt.dll
c:\windows\xkefqtgs.dll
__________
MfG Ralf
SEO-Spam Hunter

#4 @tonstudio:

1.
done.

2.
alle einträge bis auf die nachfolgenden konnten gelöscht werden:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

wird gelöscht, erscheint beim erneuten scannen aber wieder.

O21 - SSODL: xkefqtgs - {B8C36660-50AF-4D54-80BD-5E74BB05C90E} - C:\WINDOWS\xkefqtgs.dll

wird gar nicht gelöscht.

3. nachdem ich das programm ausführen will, öffnet sich ein installationsbildschirm, der sich nach zwei sekunden aber wieder schließt.

4.
option 1:

SmitFraudFix v2.323

Scan done at 14:46:26.89, 2008-06-10
Run from C:\Dokumente und Einstellungen\admin2\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin2


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin2\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\admin2\FAVORI~1

C:\DOKUME~1\admin2\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\admin2\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\admin2\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\admin2\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\admin2\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\admin2\Desktop\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: xkefqtgs.dll
SSODL: xkefqtgs - {368868E5-7E7F-4A0C-9F56-69E0174F709C}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

option 2:

SmitFraudFix v2.323

Scan done at 14:49:31.98, 2008-06-10
Run from C:\Dokumente und Einstellungen\admin2\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\xkefqtgs.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\admin2\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\admin2\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\admin2\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\admin2\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\admin2\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\admin2\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



@raman: nachfolgend die permalinks zu den ergebnissen:

c:\windows\pebgkxwq.exe
http://www.virustotal.com/de/analisis/46cc2473cdde7fe78f2faa2cc7d18efe

c:\windows\esrt.exe
http://www.virustotal.com/de/analisis/1b894ee65b1788f6c693dbf8bd195575

c:\windows\rnopbfgt.dll
http://www.virustotal.com/de/analisis/f9d5fd902b61cb154ccf62668efcdd92

c:\windows\xkefqtgs.dll
0 bytes size received

ach ja und neben der windows-uhr steht in großen lettern: VIRUS ALERT! so auch in der statusleiste, wenn ich eine Datei markiere. unmittelbar hinter der uhrzeit, zu der die datei zuletzt geändert wurde.

wenn ihr mir das fixed, dann will ich eure namen, denn mein erstgeborenes wird nach euch benannt. danke. jean

[EDIT]nochwas. der taskmanager ist wieder da. behoben sind auch die ganzen alertmeldungen. bisher keine mehr. die laufwerke sind wieder da. aber nach wie vor fehlt mir die systemsteuerung. jean [/EDIT]

#5 Hallo Maggod

>>
Versuche nun noch einmal ein Scan mit Combofix zu machen. Dannach suche das Log mit dem Namen C:\ComboFix.txt
http://virus-protect.org/artikel/tools/combofix.html


>>
scanne mit Counterspy - lasse alles gefundene entfernen + poste den report
http://virus-protect.org/counterspy1.html

>>
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html


Gruss Swiss

#6 hab meinen rechner mal neugestartet. soweit ich das beurteilen kann, scheint wieder alles normal zu laufen. dennoch nachfolgend die logs zu combofix, counterspy und malwarebytes:

combofix:

ComboFix 08-06-09.7 - admin2 2008-06-10 15:20:16.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\admin2\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\admin2\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\admin2\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\admin2\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\admin2\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\admin2\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\admin2\Favoriten\Spyware&Malware Protection.url
C:\Programme\XP Antivirus
C:\Programme\XP Antivirus\xpa.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\kvsdpfeaxpf.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\rtsplgob.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\_000013_.tmp.dll
C:\WINDOWS\system32\_000014_.tmp.dll
C:\WINDOWS\system32\esymvtdj.dll
C:\WINDOWS\system32\jdtvmyse.ini
C:\WINDOWS\system32\khfDwwxX.dll
C:\WINDOWS\system32\ljJDUMCu.dll
C:\WINDOWS\system32\XxwwDfhk.ini
C:\WINDOWS\system32\XxwwDfhk.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-10 bis 2008-06-10 ))))))))))))))))))))))))))))))
.

2008-06-10 14:46 . 2008-06-10 14:49 1,996 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-10 14:19 . 2008-06-10 14:19 <DIR> d-------- C:\Programme\CCleaner
2008-06-10 11:47 . 2008-06-10 11:47 <DIR> d-------- C:\Programme\Trend Micro
2008-06-10 11:09 . 2008-06-10 11:35 0 --a------ C:\WINDOWS\system32\ieupdates.exe.tmp
2008-06-10 11:05 . 2008-06-10 03:28 253,952 --a------ C:\WINDOWS\rnopbfgt.dll
2008-06-10 11:05 . 2008-06-10 03:28 163,840 --a------ C:\WINDOWS\pebgkxwq.exe
2008-06-10 11:05 . 2008-06-10 03:28 139,264 --a------ C:\WINDOWS\esrt.exe
2008-06-06 22:17 . 2008-06-06 22:18 <DIR> d-------- C:\Programme\QIP
2008-06-05 15:35 . 2008-06-10 09:04 <DIR> d-------- C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\skypePM
2008-06-05 15:35 . 2008-06-05 15:35 48 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-06-02 14:30 . 2008-06-02 15:23 <DIR> d-------- C:\Programme\Skype
2008-06-02 14:30 . 2008-06-02 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-06-02 14:30 . 2008-06-02 14:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 13:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-10 13:21 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\Skype
2008-06-10 13:20 --------- d-----w C:\Programme\Trillian
2008-06-10 09:09 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\uTorrent
2008-06-09 13:50 --------- d-----w C:\Programme\LingoPad
2008-06-08 15:42 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\dvdcss
2008-05-26 20:41 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\AdobeUM
2008-05-20 17:53 3,532 ----a-w C:\drmHeader.bin
2008-05-16 19:14 --------- d-----w C:\Programme\Freecorder
2008-05-10 13:21 --------- d-----w C:\Programme\Virtools Web Player 3.5
2008-05-09 16:15 --------- d-----w C:\Programme\uTorrent
2008-05-09 15:58 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\Moyea
2008-05-01 19:49 --------- d-----w C:\Programme\FreePDF_XP
2008-04-24 19:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-13 22:31 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\CoreFTP
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-21 12:16 22,920 ----a-w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-04 12:43 2,293,712 -c--a-w C:\Programme\FLV PlayerFCSetup.exe
2007-11-04 12:40 3,655,488 -c--a-w C:\Programme\FLV PlayerRCATSetup.exe
2007-11-04 12:36 411,248 -c--a-w C:\Programme\FLV PlayerRCSetup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-10_12.38.30.56 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-10 10:33:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-10 12:39:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 17:33 155648]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2006-09-05 19:22 26248]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2005-09-04 11:07 137216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-09-04 11:06 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin2^Startmenü^Programme^Autostart^Trillian.lnk]
path=C:\Dokumente und Einstellungen\admin2\Startmenü\Programme\Autostart\Trillian.lnk
backup=C:\WINDOWS\pss\Trillian.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\39582889343125446128569679305878]
C:\Programme\XP Antivirus\xpa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32]
C:\DOKUME~1\admin2\LOKALE~1\Temp\printsrv.exe/r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\feedreader.exe]
--a------ 2007-11-01 11:30 1201664 C:\Programme\FeedReader30\feedreader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX SMS-Manager]
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2005-02-15 16:02 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2003-11-08 03:01 188416 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2007-12-20 20:32 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2005-02-15 16:02 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
C:\Programme\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
C:\Programme\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Programme\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID]
C:\PROGRA~1\COOLSP~1\PERSON~1\PID.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a--c--- 2008-03-15 01:50 233472 C:\Programme\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-12-02 22:59 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-28 12:03 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowBlinds]
D:\Eigene Dateien\ICQ Lite\193470238\DaViNcI (Ben)_190388323\WBInstall32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mysql"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"gusvc"=3 (0x3)
"FileZilla Server"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apache2"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 15:47]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-06-06 18:00:11 C:\WINDOWS\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - admin2.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-10 15:23:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-10 15:24:59
ComboFix-quarantined-files.txt 2008-06-10 13:24:31

5 Verzeichnis(se), 1,855,094,784 Bytes frei
7 Verzeichnis(se), 1,848,483,840 Bytes frei

202 --- E O F --- 2008-05-27 22:24:54

counterspy:

Scan History Details
Start Date: 10.06.2008 16:47:30
End Date: 10.06.2008 18:03:14
Total Time: 75 Min 44 Sec
Detected security risks

KaZaA P2P Program more information...
Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\KAZAA
HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\KAZAA\LocalContent


Bifrost Backdoor more information...
Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
Status: Deleted

Registry entries detected
HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\WGET


Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\admin2\cookies\admin2@atdmt[2].txt
c:\dokumente und einstellungen\admin2\cookies\admin2@bs.serving-sys[1].txt
c:\dokumente und einstellungen\admin2\cookies\admin2@doubleclick[1].txt
c:\dokumente und einstellungen\admin2\cookies\admin2@serving-sys[2].txt

malwarebytes:

Malwarebytes' Anti-Malware 1.16
Datenbank Version: 845

18:33:16 10.06.2008
mbam-log-6-10-2008 (18-33-10).txt

Scan Art: Schnell Scan
Objekte gescannt: 36573
Scan Dauer: 4 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
C:\WINDOWS\rnopbfgt.dll (Trojan.Zlob) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\pebgkxwq.exe (Trojan.FakeAlert) -> No action taken.


nochmals danke. jean

#7 Lass Malwarebytes noch einmal laufen, aber dann lösche das gefundene. Momentan steht überall --> no action taken.
Siehe hier:
Infizierte Dateien:

Zitat

C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
C:\WINDOWS\rnopbfgt.dll (Trojan.Zlob) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\pebgkxwq.exe (Trojan.FakeAlert) -> No action taken.

Dann sollte dir am besten Sabina noch ein Script mit den restlichen Daten zum löschen erstellen. Denn das hier muss noch raus:

Zitat

2008-06-10 11:09 . 2008-06-10 11:35 0 --a------ C:\WINDOWS\system32\ieupdates.exe.tmp
2008-06-10 11:05 . 2008-06-10 03:28 139,264 --a------ C:\WINDOWS\esrt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\39582889343125446128569679305878]
C:\Programme\XP Antivirus\xpa.exe

wenn dann alles sauber ist, (nach dem script)
arbeite das ab:
http://board.protecus.de/t33739.htm

Gruss Swiss

#8 maggod

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\39582889343125446128569679305878]

File::
C:\WINDOWS\xkefqtgs.dll
C:\WINDOWS\system32\ieupdates.exe.tmp
C:\WINDOWS\rnopbfgt.dll
C:\WINDOWS\pebgkxwq.exe
C:\WINDOWS\esrt.exe
C:\DOKUME~1\admin2\LOKALE~1\Temp\printsrv.exe
C:\WINDOWS\Downloaded Program Files\popcaploader.dll

Folder::
C:\Programme\XP Antivirus

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

-----------

»»
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

-----------

scanne dann noch mal mit malwarebytes und lasse alles entfernen, was noch gefunden wird + poste ein neues Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit